Datenschutz- und IT-Sicherheitsaudit



Ähnliche Dokumente
Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Gesetzliche Grundlagen des Datenschutzes

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den

Datenschutz ist Persönlichkeitsschutz

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Cloud Security geht das?

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

GPP Projekte gemeinsam zum Erfolg führen

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Sicherheitsaspekte der kommunalen Arbeit

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion:

ITIL & IT-Sicherheit. Michael Storz CN8

IT-Sicherheit in der Energiewirtschaft

Dieter Brunner ISO in der betrieblichen Praxis

Die neue Datenträgervernichter DIN 66399

Security-Check nach ISO und GTelV

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kirchlicher Datenschutz

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Der Schutz von Patientendaten

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

Sicherheit entsprechend den BSI-Standards

Cloud Computing, M-Health und Datenschutz. 20. März 2015

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Sicherer Datenschutz: Operative Unterstützung für den Datenschützer

Vorsprung im Wettbewerb durch individualisierte Prozesszertifizierung im Gesundheitswesen

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Als Team zum Ziel. Wir begleiten Sie von der Idee bis zur Umsetzung

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Effizientes Risikomanagement für den Mittelstand

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Strukturierte Informationssicherheit

Security Audits. Ihre IT beim TÜV

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Datenschutzanwendung

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

«Zertifizierter» Datenschutz

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

CENIT RETENTION SOLUTION 1.1 Verwaltung von temporären Sperren und Löschworkflows. Copyright CENIT AG

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Informations- / IT-Sicherheit Standards

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Informationssicherheit ein Best-Practice Überblick (Einblick)

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Einführung in den Datenschutz

Der betriebliche Datenschutzbeauftragte

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

Grundlagen des Datenschutz

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Dokumentenlenkung - Pflicht oder Kür-

SharePoint Demonstration

Kinderschutz im Sportverein. Aufbau und Struktur Kinderschutz im SG Schwanebeck 98 e.v.

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Datenschutz und Schule

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Begrüßung und Einführung

Qualitätsmanagement. Richtlinien- Modell Compliance für Beratungsunternehmen im Bereich Public Affairs. Januar 2014

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

IT-Controlling als notwendiges Instrument für die Leitung eines Krankenhauses. Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

DOKUMENTATION PASY. Patientendaten verwalten

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

DATENSCHUTZERKLÄRUNG

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Externe Datensicherung in der Cloud - Chance oder Risiko?

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Vertrauen ist gut, Kontrolle ist besser. Datenschutz in der Arztpraxis

Transkript:

Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze

Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit und BDSG c) 3. Ergebnisse a) b) 4. / Fazit

Daten und insbesondere Gesundheitsdaten sind auch für Unbefugte von Interesse Ohne Daten kann das Geschäft Gesundheitswesen nicht funktionieren Behandlung Nachweis der durchgeführten Behandlung Abrechnung Wie kann die Sicherheit der Daten gewährleistet werden?

Daten sind Einzelangaben über Verhältnisse Personenbezogene Daten können einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) Erheben ist das Beschaffen von Daten Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten. Audit ist die Prüfung und Bewertung eines Konzepts sowie der technischen Einrichtungen durch unabhängige Gutachter (Entsprechend BDSG)

Audit und BDSG 2001: Änderung BDSG, erstmals Datenschutzaudit ermöglicht, Konkretisierung sollte in eigenem Gesetz erfolgen Seitdem, nun ja

ISO/IEC 27001 Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Kosteneffizientes Management von Sicherheitsrisiken Sicherstellung der Konformität mit Gesetzen und Regulatorien Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen Definition von Informationssicherheits- Managementtätigkeiten Gebrauch durch interne und externen Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (Internationale Norm seit 15. Oktober 2005)

Ausland? USA verpflichtend durch Sarbanes-Oxley Act (SOX, 2002) Health Insurance Portability and Accountability Act (HIPAA, 1996) Audits entsprechend Vorgaben des American Institute of Certified Public Accountants (AICPA) Europa Directive 95/46/EC (1995, Umsetzung bis 1998) Deutschland = Datenschutzgesetze Österreich Gesundheitstelematikverordnung (GTelV)

Procedere Organisation: Policies Prozesse sonstige Dokumente (Inventare, Pläne, Konzepte etc.) Technik: Physische Sicherheit Netzwerksicherheit Systemsicherheit Applikationssicherheit Wichtig: Untersuchungstiefe vor Beginn bestimmen

Beispiel Risikoanalyse Internet Threat - Robustness Firewall - Operating system 100% IDS - Administration 80% Firewall - Configuration IDS - Configuration 60% 40% 20% 0% Firewall - Administration IDS - Operating system Firewall - Design Servers - Administration Servers - Operating system Servers - Configuration

Beispiel Prozessanalyse Operation Continuity management Process Architecture Infrastructure management Architecture Process 51% Operation 79% 60% 38% 67% Operation 53% Process 57% 75% 35% Architecture Privileges management

Proaktives Vorgehen Entscheidungsgrundlage für Riskomanagement Soll- und Ist-Zustand wird dargelegt Geschäftsführung und IT-Abteilung definieren Sicherheitsniveaus für Daten Kosteneffizientes Risikomanagement wird ermöglicht To-Do-Liste mit Prioritätsniveau (Don t-do-liste) Darstellung für Partner und Kunden Sicherheit für die eigenen Mitarbeiter Nachweis im Schadensfall

Abbildung in der Wirklichkeit: Ist doch im Gesundheitswesen nicht nutzbar

wussten einige wohl nicht Krankenhaus Städtisches Klinikum Braunschweig ggmbh (BSI) Rechenzentren perdata FIDUCIA IT AG T-Systems Pharmakologie Bayer Health Care Versicherungen Gothaer Krankenversicherung AG Informationssystem-Hersteller?

Fazit IT-Sicherheitsaudit Datensicherheit optimiert Gewährleistung für die anvertrauten Daten erhöht (Partner-, Kunden- und Mitarbeiterzufriedenheit ) Vermeidung unerwünschter Werbung» Nachteil«: erhöhte Transparenz Nicht alle wollen Transparenz

Fazit Cave: 100%ige Sicherheit kann es nicht geben

/ Fragen? schuetze@medizin-informatik.org

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback